Die Kosten eines Penetrationstests sind primär von zwei Faktoren abhängig: Vom Aufwand und vom Tagessatz.
1. Der zeitliche Aufwand eines Penetration Tests
Die Dauer eines Penetrationstests ist abhängig von der Größe und Komplexität einer Anwendung oder einer IT-Infrastruktur. Grundsätzlich gibt es keine pauschalen Schätzwerte und es kommt immer auf den Einzelfall an. Angebote ohne vorherige Aufwandschätzung halte ich für grundsätzlich nicht seriös und rate davor ab.
Die grobe Richtung sieht aber wie folgt aus: Bei einer kleinen Webanwendung, also eine zweistellige Anzahl von Seiten mit ein paar Formularen und Parametern liegt man inklusive der Vorbesprechung, dem eigentlich Pentest und der Berichtserstellung bei etwa einem Tag. Der Aufwand wächst danach bei Webanwendungen weniger mit der Anzahl der Links, sondern eher mit einer steigenden Komplexität: Session Management, Rollen- und Benutzermanagement, AJAX usw. können schnell den notwendigen Aufwand erhöhen.
Den Aufwand eines IT-Infrastruktur-Penetrationstests pauschal zu beziffern ist noch schwieriger. Es hängt hier vom eigentlichen Ziel, der Anzahl der Hosts, der Anwendungen und Dienste ab. Manchmal macht es hier mehr Sinn, die eigentlichen Ziele des Tests zu konkretisieren und dann eine fixe Anzahl von Tagen dafür einzuplanen.
2. Der Tagessatz des Penetration Tester
Der Tagessatz im Penetration Testing ist auch hier von verschiedenen Faktoren abhängig: Zum Beispiel von der Erfahrung und Qualifikation vom Penetration Tester, von der dazugehörigen Unternehmensgröße, dem Unternehmensstandort, den Vertriebszielen usw.
Ist man auf der Suche nach einem qualifizierten Pentest-Freelancer landet man schnell bei Tagessätzen von 800€ und höher. Wobei alle Beispielpreise aus meinen Erfahrungen hier für Unternehmen netto wären. Beauftragt man ein Unternehmen mit ein paar Mitarbeitern mit einem Pentest liegt man anfänglich irgendwo bei 1.000€, man kann aber auch schnell 1.200€ bis 1.300€ pro Tag zahlen. Nach oben wie immer offen.